Ces dernières années, l’Europe se concentre de plus en plus sur les télécommunications et 5G Sécurité. De nombreux fournisseurs de services évoluent la cyber-sécurité pratiques et postures, tant pour les réseaux 4G existants que pour les déploiements 5G prévus, dont beaucoup sont en cours de lancement. Tous ces efforts sont en réaction au nombre croissant de cybermenaces sur les réseaux mobiles et à la prise de conscience que la sécurité peut être un facteur de différenciation des services. Elle répond également aux attentes croissantes des décideurs gouvernementaux.
Sécuriser les prestataires et leurs infrastructure informatique n’est pas nouveau mais c’est un défi croissant. Les cyberattaques sur les réseaux mobiles continuent de croître en volume et en sophistication, attaquant l’infrastructure réseau, les applications, les services et les utilisateurs finaux des fournisseurs de services (entreprises et consommateurs).
Comme pour les clients, la 5G offre des avantages que les cyberattaquants pourraient exploiter, par exemple en exploitant potentiellement les vitesses de la 5G. Il y a aussi une surface d’attaque beaucoup plus étendue résultant du volume de IoT appareils qui se connecteront aux réseaux 5G. Pris ensemble, ces facteurs pourraient accélérer le rythme des attaques ou des violations. Tout cela rend la sécurisation des réseaux, Les données, Les appareils IoT et les services d’entreprise sont essentiels.
Arrêter les cybermenaces
Les gouvernements européens comprennent ce qui est en jeu, publiant une législation et des directives encourageant les organisations à sécuriser et à mettre fin aux cybermenaces sur les réseaux mobiles. En avril 2020, le régulateur allemand des télécommunications, Bundesnetzagentur, a publié un projet de «Catalogue des exigences de sécurité pour l’exploitation des systèmes de télécommunications et de traitement des données, et pour le traitement des données personnelles, version 2.0». L’annexe I, section 2.2 du catalogue allemand exige que les «fournisseurs de services de télécommunications dotés d’une infrastructure IP» surveillent régulièrement les données de trafic pour détecter toute anomalie «afin de détecter les attaques ou les pannes» et mettent en œuvre une infrastructure de surveillance appropriée qui «devrait être en mesure d’identifier et prévenir les menaces ».
Les orientations de l’Allemagne sont louables car elles reconnaissent que la surveillance des menaces et la prévention des attaques en temps réel sont essentielles pour réduire le volume et l’impact des cyberattaques sur les infrastructures nationales, les réseaux gouvernementaux, les entreprises et les citoyens.
Il convient de noter que l’effort de l’Allemagne s’inscrit dans le contexte de l’activité gouvernementale dans toute l’Europe. En janvier 2020, la Commission européenne a publié la boîte à outils sur la cybersécurité 5G pour les États membres de l’UE. La boîte à outils recommande 19 mesures stratégiques et techniques que les États membres peuvent mettre en œuvre pour renforcer la sécurité de leurs réseaux 5G, sur la base d’évaluations des risques nationaux. Ces mesures comprennent des contrôles d’accès stricts, le principe du «moins privilégié», la segmentation des tâches et l’authentification, l’autorisation, la journalisation et l’audit.
Bien que volontaire, la mise en œuvre de la boîte à outils se déroule au niveau national, comme indiqué dans un rapport de juillet 2020. Dans certains cas, cela va dans le sens de la transposition en droit interne du Code européen des communications électroniques (EECC), une vaste nouvelle loi européenne sur les télécommunications que les États membres sont censés mettre en œuvre d’ici décembre 2020. Sécurité exigences, les articles 40 et 41, invitent les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public à «prendre des mesures techniques et organisationnelles appropriées et proportionnées pour gérer de manière appropriée les risques posés à la sécurité des réseaux et des services».
Ces mesures devraient avoir «eu égard à l’état de l’art», «garantir un niveau de sécurité adapté au risque présenté» et «prévenir et minimiser l’impact des incidents de sécurité sur les utilisateurs et sur d’autres réseaux et services». L’Agence européenne de cybersécurité, l’ENISA, a publié le 10 décembre deux documents destinés aux agences de régulation nationales des États membres afin de les aider à mettre en œuvre ces dispositions: la directive sur les mesures de sécurité dans le cadre de l’EECC et un supplément 5G à cette directive.
Nonobstant la législation et les directives, de nombreux fournisseurs de services européens ont déjà commencé à investir dans des outils et des capacités de sécurité éprouvés et de pointe pour sécuriser les réseaux, en partie grâce aux nouvelles en cours sur les vulnérabilités des technologies mobiles 4G et 5G. Ces investissements portent sur des solutions d’atténuation en temps réel, d’authentification et de contrôle d’accès, de segmentation du réseau et de sécurité des conteneurs. Les prestataires de services accordent également la priorité aux «architectures de confiance zéro», à la prévention et à l’automatisation. Surtout, on comprend de plus en plus la nécessité de maintenir une surveillance et la mise en application pour pouvoir détecter et arrêter les menaces de cybersécurité dans le trafic mobile en temps réel.
Notamment, la GSMA, l’association industrielle représentant les intérêts des opérateurs de téléphonie mobile dans le monde, y compris plus de 200 opérateurs européens, a publié un document de référence en mars 2020 qui présente des recommandations aux fournisseurs de services de communication pour détecter et prévenir les attaques sur la couche de données mobiles contre les réseaux et les services. et applications.
Ramifications de sécurité des réseaux mobiles
Il n’y a pas que les fournisseurs de services qui doivent être conscients des directives réglementaires croissantes concernant les réseaux et les applications 5G. De nombreuses entreprises européennes sont prêtes à adopter des réseaux 5G privés, comme beaucoup de leurs pairs dans le monde. Le Bundesnetzagentur allemand a récemment octroyé plus de 80 licences de spectre dans la bande 3700–3800 MHz à des entreprises telles que Audi, Bosch et Lufthansa pour les utiliser dans les réseaux 5G locaux. Les régulateurs doivent tenir compte des ramifications en matière de sécurité apportées par l’introduction de réseaux 5G privés.
Enfin, des groupes régionaux fournissent des conseils sur la sécurité mobile. Par exemple, le Forum économique mondial basé en Suisse mène une initiative intersectorielle visant à accélérer une transition durable et sûre vers la prochaine génération de réseaux mobiles. L’initiative identifie et communique aux hauts dirigeants les risques de sécurité émergents et les défis systémiques des réseaux mobiles et fournit des recommandations clés pour les actions qui pourraient y remédier.
Investir dans la cybersécurité
Dans l’ensemble, nous ne pouvons pas renoncer à investir dans la cybersécurité en ce qui concerne l’avenir des réseaux mobiles. Ces conseils et cette réglementation de la sécurité 5G seront utiles pour améliorer la sécurité de base et réduire les cyberrisques critiques. Les conseils aideront en particulier les petits opérateurs de téléphonie mobile ou les opérateurs de réseaux 5G privés, tels que les entreprises, qui ne peuvent souvent pas se permettre une expertise en cybersécurité sur ce sujet.
À l’instar du secteur financier, une bonne réglementation bien pensée de la sécurité des réseaux mobiles peut contribuer à accroître la confiance dans l’infrastructure et la technologie et à permettre de nouveaux modèles commerciaux. Il n’est pas surprenant que certains opérateurs de réseaux mobiles aient commencé il y a quelque temps à investir dans la sécurité mobile, allant au-delà des exigences minimales en tant que différenciateur du marché. Cependant, il est maintenant temps pour tout le monde d’agir.
La cybersécurité doit être adoptée, dans la phase de conception des futures architectures mobiles, par toutes les parties prenantes concernées: les fournisseurs de réseaux mobiles, les gouvernements et les entreprises gérant leurs propres réseaux privés. Cela est possible en adoptant une approche globale de la sécurisation des réseaux 5G et en tirant parti des meilleures pratiques et des outils et capacités de sécurité évolutifs et de pointe qui peuvent aider à sécuriser les infrastructures de réseau, les communications et les données complexes d’aujourd’hui.